摘要：近几个月来，一场针对移动用户的欺骗性网络钓鱼活动显著加剧，该活动以虚假的未支付通行费通知为诱饵，已演变成当前最为复杂的基于短信的凭证窃取操作之一。

网络钓鱼

近几个月来，一场针对移动用户的欺骗性网络钓鱼活动显著加剧，该活动以虚假的未支付通行费通知为诱饵，已演变成当前最为复杂的基于短信的凭证窃取操作之一。

这种诈骗手段标志着网络钓鱼方法上的一种策略转变，摒弃了传统的冒充包裹投递通知的方式，转而利用人们对所谓驾驶违规行为可能产生的财务担忧来实施诈骗。

安全研究人员已确认，已有数千名受害者在不知不觉中因这一日益猖獗的骗局而交出了自己的登录凭证。

当毫无防备的受害者收到声称他们有未支付的通行费违规款项、需要立即处理的短信时，攻击便开始了。

这些短信使用了急迫的言辞，威胁称如果收件人不迅速回复，将面临巨额罚款，甚至驾照会被吊销。

与传统的网络钓鱼尝试不同，这些短信最初并不包含任何活跃链接，而是指示收件人直接回复短信，这营造出一种虚假的可信度，并绕过了标准的网络钓鱼检测方法。

Censys 的研究人员发现，一旦受害者回复了这些初始短信，攻击者就会立即展开第二阶段的攻击，发送一个链接到设计得极为逼真的网络钓鱼域名。

这些域名极为精准地模仿了官方的通行费征收机构，甚至还根据受害者的所在地融入了当地的视觉元素。

Censys 团队已追踪到了数以万计的这些恶意域名，发现目标受害者遍布多个国家。

这场网络钓鱼活动规模之大，源于其高度有组织的运营结构，攻击者利用了一种基于订阅的模式，得以广泛传播。

支持这些攻击的基础设施展现出了很强的抵御能力，能够有效应对关停企图，一旦有域名被封锁或举报，新的域名会迅速部署到位以取而代之。

其造成的经济影响不仅局限于个人受害者，因为通过这些活动窃取的凭证常常在被盗后的数小时内就会出现在地下市场上售卖。

Lucid 网络钓鱼即服务平台

这场活动的核心是 “Lucid”，这是一个综合性的 “网络钓鱼即服务”（PhaaS）平台，它为网络犯罪分子提供了启动复杂网络钓鱼活动的一站式解决方案。

该平台使得即使技术水平不高的攻击者也能够生成看起来真实的网络钓鱼域名，以及为特定地区的通行费管理机构量身定制的登录页面。

该服务会根据受害者的 IP 地址进行动态调整，能够针对特定的地理区域进行精准定位，并为 iOS 和 Android 用户进行设备特定的优化。

Lucid 的技术复杂性包括实施验证机制，该机制会阻止来自目标区域之外的 IP 地址的连接，并防止安全研究人员不通过指定的缩短URL而直接访问这些域名。

支付页面仅向指定地理区域内的受害者显示，这进一步增加了安全公司进行检测和分析的难度。

这个平台是类似服务不断增长的生态系统的一部分，其中包括 Lighthouse、Darcula、EvilProxy 和 W3II 等，所有这些服务都旨在让犯罪分子更轻易地具备网络钓鱼能力。

安全分析师指出，这些通行费诈骗活动的成功率约为 5%，远高于传统的电子邮件网络钓鱼攻击，这证明了这种将短信与定制的网络钓鱼域名相结合的多阶段攻击方式的有效性。

随着这种威胁的不断演变，用户应极度谨慎地对待任何意外收到的通行费违规通知短信，通过独立获取的联系方式直接向官方通行费管理机构进行核实，而不要回复未经请求的短信。

虚假的未支付通行费短信攻击标志着网络钓鱼策略的重大演变，它既利用了心理操纵手段，又运用了复杂的技术，从而达到了前所未有的成功率。

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧！

来源：洞察冷暖